Um die Informationssicherheit dauerhaft im Betrieb zu verankern, bietet sich die Einführung entsprechender Managementsysteme an. Welche Verfahren sind geeignet?
Mittlerweile gibt es eine Reihe von Standards und Zertifizierungen, mit denen Unternehmen nachweisen können, dass sie mit dem Thema Informationssicherheit angemessen und verantwortlich umgehen. Im Folgenden die einzelnen Verfahren:
DIN ISO/IEC 27001
Die Zertifizierung nach DIN ISO/IEC 27001 bietet sich für Unternehmen an, die ihre betriebliche IT umfassend dokumentieren wollen. Das Ziel ist die Einführung und Aufrechterhaltung eines weitreichenden Information Security Management Systems (ISMS). Die Vorgehensweise ist stark an die bekannte ISO/IEC 9001 aus dem Qualitätsmanagement angelehnt und ähnlich prozessorientiert ausgerichtet.
Um den geforderten Standards zu entsprechen, müssen die Betriebe dem sogenannten PDCA-Zyklus folgen: Geschäftsaktivitäten und Risiken definieren („Plan“), ein Management-System für Informationssicherheit implementieren und betreiben („Do“), es überwachen und überprüfen („Check“) sowie es aufrechterhalten und stetig verbessern („Act“). Wie bei jeder Zertifizierung müssen auch hier zu Beginn der Geltungsbereich (sogenannter Scope) und die Grenzen des ISMS genau definiert werden.
ISO-27001-Zertifikat auf Basis von IT-Grundschutz
Für Unternehmen, die eine Alternative ohne aufwändige Risikoanalysen bevorzugen, eignet sich in Deutschland das ISO-27001-Zertifikat auf Basis von IT-Grundschutz. Die Basis dafür ist der sogenannte IT-Grundschutz, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegt hat.
Das IT-Grundschutz-Konzept geht von pauschalen Gefährdungen aus, für die je nach Schutzbedarf personelle, technische, organisatorische und infrastrukturelle Sicherheitsmaßnahmen aus den IT-Grundschutz-Katalogen ausgewählt werden. Die Zertifizierung umfasst das IT-Sicherheitsmanagement sowie die Bewertung konkreter IT-Sicherheitsmaßnahmen. Dabei werden die vom Unternehmen erstellten Referenzdokumente gesichtet, eine Vor-Ort-Prüfung durchgeführt und ein Auditbericht erstellt.
Produzierende Betriebe, die nur einen niedrigen bis mittleren Schutzbedarf aufweisen, ersparen sich bei diesem Zertifikat umfangreiche Risikoanalysen. Auch ist es für die meisten Dienstleistungs- und Handelsunternehmen ausreichend, wenn sie die einzelnen Bausteine des IT-Grundschutzes auf konkrete Gefahren im eigenen Betrieb untersuchen und entsprechende Maßnahmen festlegen.
Risikoanalysen sind nur noch bei einem höherem Schutzbedarf, insbesondere wenn es beispielsweise um Hochverfügbarkeitslösungen, Geheimschutzanwendungen oder Gesundheitsdaten geht, durchzuführen. Der Nachteil des ISO-27001-Zertifikats auf der Basis von IT-Grundschutz: Es wird im Ausland nicht anerkannt, was für international tätige Unternehmen ein großer Wettbewerbsnachteil sein kann.
„IT Infrastructure Library“ (ITIL)
Für die wichtigsten Steuerungsprozesse der betrieblichen IT hat sich die „IT Infrastructure Library“ (ITIL) defacto als weltweit akzeptierter Standard etabliert. ITIL ist eine ausführliche Verfahrensbibliothek, die Best Practice-Beispiele liefert. Es handelt sich um gesammeltes Wissen, das in einer Bibliothek von etwa 40 englischsprachigen Publikationen öffentlich zugänglich ist.
Das Ziel der gesammelten Empfehlungen besteht im Wesentlichen darin, die bislang meist technologiezentrierte IT-Organisation prozess-, service- und kundenorientiert auszurichten. Damit sind sie eine wertvolle Grundlage für zuverlässige, sichere und wirtschaftliche IT-Dienstleistungen auch innerhalb des eigenen Unternehmens.
Der Vorteil der technologie- und anbieterunabhängigen ITIL: Die darin enthaltenen Empfehlungen können unabhängig von der eingesetzten Hard- und Software angewandt werden. Die Zertifizierungsnorm für ITIL ist der Standard ISO/IEC 20000, in den die Prozessbeschreibungen aus ITIL vollständig eingeflossen sind.
ISIS12
Das sogenannte „Netzwerk für Informationssicherheit im Mittelstand (NIM)“ (Mitglieder sind u.a. Bayerischer IT-Sicherheitscluster e.V., Universität und Hochschule Regensburg) hat mit der ISIS12 ein Verfahren entwickelt, das in insgesamt zwölf Schritten zu einem ISMS führt. Das Vorgehensmodell führt von der Initialisierungsphase über die Festlegung der Aufbau- und Ablauforganisation bis hin zur Entwicklung und Umsetzung des ISIS-Konzepts.
ISIS12 orientiert sich an der Grundschutz-Methodik des BSI und wurde eigens für den Mittelstand (ca. 100 bis 1 500 rechnergestützte Arbeitsplätze) entwickelt. Damit steht kleinen und mittleren Unternehmen ein Einstieg in ein Informationssicherheits-Management zur Verfügung, der auch zertifiziert werden kann. Weil das Verfahren mit dem IT-Grundschutz bzw. der ISO/IEC 27001 kompatibel ist, ist ein späteres „Upgrade“ auf diese Systeme möglich.
Für welches Verfahren man sich auch entscheidet: Alle Management-Systeme tragen dazu bei, das Thema IT-Sicherheit dauerhaft in den betrieblichen Abläufen zu verankern und die Standards konsequent umzusetzen. Außerdem lassen sich Aufwand und Kosten für die Informationssicherheit besser kalkulieren. Die Gefahren durch Datenklau, Hacker und andere Angriffe werden nicht abnehmen. Deshalb ist die Beschäftigung mit dem Thema IT-Sicherheit für die Betriebe kein Luxus, sondern eine Frage der Existenzsicherung.
